「ケニア最新法令情報‐(2019年12月号) ケニアの個人情報保護法制~新データ保護法の施行~」

1.はじめに

ケニアでは携帯電話が急速に普及し、モバイルマネーやマイクロファイナンスを始めとするICTサービスが飛躍的に拡大している。ケニア政府も、デジタル技術を使い、顔写真や指紋情報を含めた国民のID登録を進めてきた。他方、こうした過程で収集される個人情報の適正な取扱いを担保するための実効的な制度はなく、個人情報保護は、主としてケニア憲法第31条が定めるプライバシー権(家族や私事に関わる情報を不必要に要求または開示されない権利)に依拠するほかない状況が続いていた。

2.新データ保護法の成立

個人情報保護制度の整備が喫緊の課題となる中、2019年11月8日、新データ保護法(Data Protection Act, 2019)が成立し、同月25日に施行された。同法が採用する基本的な概念やデータ保護の仕組みは、EUの一般データ保護規則(General Data Protection Regulation:GDPR)を参考としたものとなっている。

3.新データ保護法の内容

新データ保護法の規制は多岐にわたるため、網羅的な解説は別稿において行うが、重要な規定として以下のものがある。なお、下記において、「データ主体(Data Subject)」とは、「識別された、または識別され得る自然人」、「データ管理者(Data Controller)」とは、「自然人または法人、公的機関、部局またはその他の組織であって、単独でまたは他の者と共同で、個人データの取扱いの目的および方法を決定する者」、「データ取扱者(Data Processor)」とは、「管理者の代わりに個人データを取扱う自然人もしくは法人、公的機関、部局またはその他の組織」を意味し、GDPRと同様の定義が用いられている(但し、GDPR と異なり、新データ保護法では、データ管理者とデータ取扱者に対する規制の区別は明確でない)。

・データ管理者およびデータ取扱者の登録

データ保護長官(Data Protection Commissioner)が事業分野の性質や取扱いデータ量等を考慮して定める基準を超える場合には、データ管理者およびデータ取扱者は登録を義務づけられる。

・個人データ保護の基本原則の遵守

データ管理者およびデータ取扱者は、適法性、公正性および透明性、目的の限定、データの最小化、正確性、記録保存の制限等の基本原則に従って個人データを処理しなければならない。

・個人データ取得時の通知

データ管理者およびデータ取扱者は、個人データを取得する前に、データ主体に対し、その権利、取得の目的、セキュリティー措置等の所定の情報を通知しなければならない。

・個人データの取扱いの条件

データ管理者およびデータ取扱者は、データ主体が同意した場合や、データ主体が契約当事者となっている契約の履行のために必要な場合、法的義務を遵守するために必要な場合、公共の利益において行われる職務の遂行のために必要な場合、データ管理者およびデータ取扱者等が求める正当な利益のために必要な場合等を除いて、個人データを取扱うことができない。なお、健康に関する個人データの取扱いは、医療従事者の責任の下で行われるなど、極めて限定的な条件でのみ認められる。

・データ保護措置

データ管理者およびデータ取扱者は、データ保護の基本原則を効果的に履行できるよう設計された適切な技術的措置および組織的措置を講じなければならない。

・データ保護影響評価

個人データの取扱いがデータ主体の権利および自由に対する高いリスクを発生させる恐れがある場合、データ管理者またはデータ取扱者は、データ保護影響評価を実施し、評価報告書を当該取扱いの60日前に提出しなければならない。また、影響評価において高いリスクを発生されるおそれがあることが示された場合には、事前にデータ保護長官と協議しなければならない。

・個人データのケニア国外への移転

データ管理者およびデータ取扱者は、セキュリティーと個人データの保護に関する適切な措置に関する証拠をデータ保護長官に提出した場合に限り、個人データをケニア国外に移転することができる。国外移転は、データ主体との間の契約の履行のために必要な場合や、公共の利益のために必要な場合、訴えの提起および攻撃防御に必要な場合、データ管理者およびデータ取扱者等が求めるやむを得ない正当な利益(データ主体の利益、権利および自由が優先しないもの)のために必要な場合等に認められる。但し、人種、健康状態、出自、良心、信条、遺伝情報、生体情報、資産の詳細、婚姻の有無、氏名を含む家族の詳細、性別、性的志向といった情報は、センシティブ個人データ(Sensitive Personal Data)に該当するものとして、データ主体の同意がある場合に限り、国外への移転が認められる。

・個人データ侵害の通知

無権限者が個人データにアクセスまたはそれを取得した場合において、データ主体が被害を受けるリスクがある場合、データ管理者およびデータ取扱者は、その侵害を知ったときから遅くとも72時間以内にデータ保護長官に対し、また、合理的な期間内にデータ主体に対して通知しなければならない。

・データ取扱いの制限

データ管理者およびデータ取扱者は、データ主体から求められた場合において、個人データの正確性についてデータ主体から疑義が提示されている等の所定の場合には、データの取扱いを制限しなければならない。

・訂正および消去の権利

データ主体は、データ管理者およびデータ取扱者に対し、自己の不正確な個人データ等の訂正を求め、また、データ管理者およびデータ管理者が保持する権限を失った自己の個人データ等の消去を求めることができる。

・異議を述べる権利

データ管理者とデータ取扱者が、データ主体の利益に優先する取扱いについて、または、訴えの提起および攻撃防御について、やむをえない正当な利益があることを証明しない限り、データ主体は、自己の個人データの取扱いに対し、異議を述べる権利を有する。

・データ・ポータビリティの権利

データ主体は、自己の個人データを、構造化され、一般的に利用され、機械で読み取り可能な形式で受け取る権利をもち、また、提供を受けた個人データを妨げられることなく、別のデータ管理者またはデータ取扱者に移行する権利を有する。

・自動化された決定

データ主体は、自己に関する法的効果を発生させる、または、重大な影響を及ぼすプロファイリングを含む専ら自動化された取扱いに基づいた決定の対象とされない権利を有する。

・データ主体による不服申立て、データ保護長官による是正通知および制裁

データ主体は新データ保護法の下でのいかなる者の行為に対してもデータ保護長官に不服を申し立てることができる。データ保護長官は同法違反について捜査権限を有し、違反者に対して是正通知を発することができる。また、データ保護長官は、違反者に対して、500万シリング(約538万円)以下の制裁金を課すことができる。

・罰則

新データ保護法に違反して有罪判決を受けた場合は、原則として、300万シリング(約323万円)以下の罰金、10年以下の懲役またはその両方が科される。

4.日本企業が特に留意すべき点

新データ保護法は、日本企業がケニアに有する現地法人や支店について、その顧客のみならず、自社の駐在員および現地従業員の個人データの取扱いにも適用される。また、外国企業や非居住者企業であっても、ケニアに所在するデータ主体の個人データを取扱う場合には、同法の適用対象となること(域外適用)にも注意が必要である。すなわち、ケニアで事業を行う顧客からの委託により、日本企業がケニアに所在する者の個人データを日本国内で取扱うような場合にも同法が適用され、当該日本企業に対しケニア法上の義務が課されることになる。

すでに新データ保護法は施行されており、適用を受ける日本企業は速やかに対応を進める必要がある。但し、本稿執筆時点において、新データ保護法の運用を担うデータ保護長官は選任されておらず、同長官が定めることとされている規則やガイドラインも公表されていない。データ管理者やデータ取扱者としての登録が必要になる基準や、国外へのデータ移転の条件となる適切な保護措置の詳細等については、今後明らかになるものと思われるので、引き続き、状況を注視されたい。

以上

TMI総合法律事務所 ケニアデスク

平林拓人

Takuto_Hirabayashi@tmi.gr.jp

 

ページの先頭へ